Комментарии 80
Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
И чего там хорошего, я не очень понял?
Это был сарказм.
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
Спасибо. добавил OCSP, теперь A+
Воот! Теперь все гуд ;)
Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
OCSP stapling No
OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.
Для A+ нужно HPKP, по-моему.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.
Для A+ нужно HPKP, по-моему.
Спасибо. Да, действительно, забыл сделать nginx reload
Сейчас
В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
OCSP stapling No
Сейчас
OCSP stapling Yes
В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
НЛО прилетело и опубликовало эту надпись здесь
Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
НЛО прилетело и опубликовало эту надпись здесь
Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
НЛО прилетело и опубликовало эту надпись здесь
Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
Вот взяли и положили китайцев :)
Попробую я через пару дней…
Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
Не Wildcard или EV, но для маленького сайта, вроде, пойдет: Comodo Positive SSL за $12 на 3 года. Четыре бакса в год.
Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
гатавай тамайт, пичаль-бида
А пробовал кто отозвать их сертификат и запросить новый?
Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
Подскажите, может кто видел в сети — имеются ли бесплатные сертификаты для IDN-доменов (рф)? Проект некоммерческий, а пользователей защитить хочется.
прикрыли лавочку китайцы.
теперь только 1 домен free на 1 год :(
далее по 1.99$ каждый домен за каждый год
теперь только 1 домен free на 1 год :(
далее по 1.99$ каждый домен за каждый год
letsencrypt.org в ближайшее время станет доступен всем и уже является доверенным во всех основных браузерах, так-что нет смысла горевать)
Твою мать( я как раз потерял auth сертификат в startssl. А через месяц заканчивается мой сертификат на домен. И что делать-то?
Создайте новую учетку, startssl «помнит» владельца домена только 30 дней.
Я вот тут задумался насчёт let's encrypt. Они начинают за 3 дня до окончания моего сертификата. Можно успеть. Хотя наверное проще прдстраховаться и получить stsrtsll дополнительно.
Ну, выпустите сейчас и поменяйте, не дожидаясь, когда сертик протухнет. Зачем ждать?
А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
Так что в этом году, возможно, и увидим.
А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015
Так что в этом году, возможно, и увидим.
Можно ещё купить какой-нибудь rapidssl за $10 и на пару лет забыть о проблеме.
А кто-нибудь сталкивался с проблемами сертификатов WoSign на устройствах apple?
Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.
При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).
У меня апач а не nginx, вот конфиг:
SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231
До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.
Что там надо еще включить для счастья на айфонах?
Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.
При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).
У меня апач а не nginx, вот конфиг:
SSLCertificateFile /data/www/ssl/webmail.crt
SSLCertificateKeyFile /data/www/ssl/webmail.key
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDE
A:!PSK:!SRP:!SSLv2;
SSLCertificateChainFile /data/www/ssl/wosign/ca-certs.pem
SSLHonorCipherOrder On
SSLCACertificateFile /data/www/ssl/wosign_root_bundle.crt
Header add Strict-Transport-Security "max-age=31536000"
Header add Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsa
fe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report"
SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231
До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.
Что там надо еще включить для счастья на айфонах?
SSLCertificateFile /data/www/ssl/webmail.crt
SSLCertificateKeyFile /data/www/ssl/webmail.key
По-моему, что-то тут не так. Что за webmail.crt\.key?
Я надеюсь, вы не сунули сюда ключи для веб-почты из wosign-кабинета?
help.ubuntu.ru/wiki/apache_и_https:
# Публичный сертификат сервера
SSLCertificateFile /etc/ssl/certs/server.pem
# Приватный ключ сервера
SSLCertificateKeyFile /etc/ssl/private/server.key
PS. У меня nginx и сайты с wosign-сертиками открываются на яблоках при А+ ssllabs
Что за webmail.crt\.key?
Просто переименовал для удобства…
Все, разобрался, я сам лопух.
После того как запостил сюда, пришла в голову мысль пересоздать сертификат. И повторив процедуру, я понял, что сунул туда не тот root-bundle ключ.
Уже не помню, откуда я его тогда взял, может быть это и были «ключи для веб-почты из wosign-кабинета», сейчас указал правильный root-bundle, и сайт заработал.
Оказывается, бывает и так: почему-то только apple на сертификат ругался, винде, андроиду и всем остальным все нравилось.
P.S: кстати подтверждаю: теперь только на год новые сертификаты нахаляву дают. Хорошо я тот старый успел получить на 3 года.
Доброго времени суток! Смотрю сейчас вы на Let's Encrypt перебрались. Расскажите, пожалуйста, в чём причина. Может нашли в WoSign какой то фатальный недостаток?
Просто компании mozilla доверия больше. Let's Encrypt можно настроить на авто продление, что освобождает вас от рутиной работы.
Понятно, благодарю. На счёт автопродления — ерунда это всё. Мне один из сертификатов, например, нужен для заливки в «железный» IP KVM, никакого авто продления там просто не настроить, также не настроить его не для чего кроме пары веб серверов, к админке шлюза моего тоже не прикрутить и т. д… В итоге получается что у меня авто продление заработает в одном месте: на апаче с «сайтом» (фактически домашняя страничка, буквально, почти одна). В целом я бы вообще не мучался ибо сертификат в той железке нужен лишь потому что Java последних версий откровенно насилует мозг придирками к сертификату и ничего в итоге просто не работает как не извращайся. По сути на IP KVM сертификат вообще не нужен ибо всё происходит в локалке, но в итоге сейчас приходиться использовать древнюю 6 жабу с кучей дыр и прочего безобразия которая работает и при добавлении исключения вообще позволяет выкинуть этот бессмысленный самоподписанный сертификат на 10 лет.
29 сентября 2016 года, WoSign закрыла возможность бесплатных SSL-сертификатов. Пожалуйста, обновите информацию в посте :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесплатные SSL-сертификаты — теперь на 3 года от WoSign